EU-U.S. Data Privacy Framework: orientarsi nel panorama giuridico dopo la sentenza del Tribunale

In tal modo, il Tribunale ha confermato, almeno per ora, che il Data Privacy Framework UE-USA (DPF) garantisce un livello di protezione "sostanzialmente equivalente" a quello garantito all'interno dell'UE.

Il quadro giuridico di riferimento

Le origini di questo caso risalgono al 10 luglio 2023, quando la Commissione europea ha adottato la decisione di esecuzione (UE) 2023/1795. Tale decisione ha segnato una tappa importante, in quanto ha dichiarato che gli Stati Uniti forniscono un livello adeguato di protezione dei dati personali trasferiti dall'UE, in conformità con il capitolo V del GDPR. La decisione di adeguatezza è stata il risultato di un approfondito esame giuridico, soprattutto alla luce delle precedenti invalidazioni da parte della Corte di giustizia di quadri normativi precedenti come Safe Harbour e Privacy Shield. La decisione del 2023 è stata influenzata da sostanziali cambiamenti normativi negli Stati Uniti, in particolare dall'Ordine Esecutivo 14086, che ha introdotto nuove garanzie di privacy per le attività di intelligence e ha istituito la Data Protection Review Court (DPRC) come meccanismo di ricorso indipendente per i cittadini dell'UE.

Nonostante queste riforme, la decisione di adeguatezza è stata prontamente contestata dal membro del Parlamento francese Philippe Latombe. Egli ha sostenuto che la DPRC non fosse veramente indipendente e imparziale e che la raccolta massiccia di dati personali dell'UE da parte delle agenzie di intelligence statunitensi non fosse ancora sufficientemente limitata o soggetta ad un adeguato controllo. Queste preoccupazioni facevano eco a quelle sollevate nei casi storici Schrems I e Schrems II, che in precedenza avevano portato all'invalidazione dei precedenti quadri normativi sul trasferimento transatlantico dei dati. Tuttavia, dopo un esame approfondito delle nuove garanzie giuridiche e istituzionali, il Tribunale ha respinto integralmente il ricorso di Latombe, confermando la valutazione della Commissione.

Il ragionamento della Corte

1. Indipendenza del DPRC

Il punto cardine della tesi del ricorrente era la presunta dipendenza strutturale del DPRC dal potere esecutivo statunitense. Il Tribunale ha esaminato in dettaglio la struttura e il funzionamento del DPRC. Ha osservato che il processo di nomina dei giudici del DPRC è articolato su più livelli, con mandati a durata determinata e possibilità di revoca solo per giusta causa, il che contribuisce a proteggere i giudici da influenze indebite. Inoltre, la legge statunitense impone obblighi statutari sia al Procuratore generale che alle agenzie di intelligence, vietando loro esplicitamente di interferire con il lavoro della DPRC. La Corte ha anche sottolineato la responsabilità permanente della Commissione di monitorare l'applicazione del quadro normativo e, se necessario, di sospendere, modificare o abrogare la decisione di adeguatezza qualora futuri cambiamenti nella legislazione o nella prassi statunitense compromettessero tali garanzie.

Nel loro insieme, questi fattori hanno portato la Corte a concludere che la DPRC soddisfi gli standard UE di indipendenza e imparzialità.

2. Raccolta di dati in blocco e proporzionalità

Rispondendo alle preoccupazioni relative alla raccolta massiva di informazioni di intelligence, la Corte ha ribadito che la sentenza Schrems II non richiede un'autorizzazione giudiziaria preventiva, ma piuttosto che qualsiasi raccolta massiva sia soggetta a un controllo giudiziario significativo a posteriori.

La Corte ha inoltre affrontato la questione della raccolta massiva di dati personali da parte delle agenzie di intelligence statunitensi. Ha riscontrato che, ai sensi della legislazione statunitense, tale raccolta è limitata a quanto considerato «necessario e proporzionato» per scopi di sicurezza nazionale chiaramente definiti. È importante sottolineare che tali attività sono soggette al controllo del DPRC, che ha l'autorità di ordinare misure correttive nei casi in cui vengano individuate violazioni. Di conseguenza, la Corte ha concluso che le garanzie attualmente in vigore negli Stati Uniti soddisfano il criterio di "equivalenza essenziale" stabilito dalla CGUE.

Conseguenze pratiche della decisione

Per le imprese, la sentenza del Tribunale generale porta un periodo di relativa stabilità, in quanto stabilisce con fermezza la base giuridica del DPF e fornisce alle aziende e ai loro team legali un maggiore grado di certezza quando si affidano al Framework per i trasferimenti transatlantici di dati. Tuttavia, questa stabilità non è assoluta. La Commissione è tenuta a monitorare costantemente le prassi statunitensi e qualsiasi cambiamento significativo, sia a livello legislativo che nel comportamento delle agenzie statunitensi, potrebbe comportare una sospensione parziale o totale della decisione di adeguatezza. Le aziende dovrebbero quindi rimanere vigili, tenendo d'occhio le relazioni annuali della Commissione e la possibilità di nuove contestazioni legali dinanzi alla Corte di giustizia dell'Unione europea.

È inoltre importante notare che la sentenza non elimina la necessità di valutazioni d'impatto dei trasferimenti quando si utilizzano meccanismi di trasferimento alternativi, come le Clausole Contrattuali Standard, in particolare per i destinatari dei dati statunitensi che non hanno ottenuto l'autocertificazione nell'ambito del DPF.

Conclusioni

La decisione del Tribunale offre chiarezza e una certa certezza giuridica alle organizzazioni che dipendono dai flussi di dati tra l'UE e gli Stati Uniti. Anche se gli oppositori del Data Privacy

Framework continueranno probabilmente a insistere, con il rischio di un ricorso alla Corte di giustizia, la sentenza sottolinea la volontà della Corte di sostenere l'approccio basato sul rischio adottato dalla Commissione. Le aziende dovrebbero quindi approfittare di questo periodo di tregua, ma è consigliabile rimanere cauti e vigili, poiché il panorama dei trasferimenti internazionali di dati è sempre molto dinamico.